一种ACL配置方法、ACL配置设备及服务器与流程

文档序号：12890016阅读：258来源：国知局

本发明涉及通信领域，尤其涉及一种acl配置方法、acl配置设备及服务器。

背景技术：

信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的，且随着通信技术发展以及网络技术应用的不断深入，人们对安全监控的需求进一步加强。由于访问控制列表(英文：accesscontrollist，简称：acl)规则能够有效实现网络流量和网络访问权限的控制，因此在安全监控方面得到了越来越广泛的应用。

在现有技术中，当需要控制某用户只能访问或不能访问某些特定的网络资源时，可以基于这些网络资源的域名(英文：domainname)对应的互联网协议(英文：internetprotocol，简称：ip)地址列表手动配置acl功能。例如，以网络资源为网站为例，假设需要控制公司员工只能访问公司内的网站，那么可以由操作人员获取公司内的网站的域名对应的ip地址列表，并将获取到的ip地址列表手动配置到acl列表中，在配置成功之后，公司员工就只能访问公司内的网站。

可以得到的是，在现有技术中需进行控制的网络资源的域名对应的ip地址列表是操作人员手动配置到acl列表中的，这样，在网络资源的域名对应的ip地址列表发生变化时，则需要操作人员根据变化后的ip地址列表手动修改acl列表，这便容易出现修改不及时的情况，从而造成acl控制错误。

技术实现要素：

本发明提供一种acl配置方法、acl配置设备及服务器，解决了在网络资源的域名对应的ip地址列表发生变化时，由于容易出现修改acl 列表不及时的情况造成的acl控制错误的问题。

为达到上述目的，本发明采用如下技术方案：

本发明的第一方面，提供一种acl配置方法，包括：

acl配置设备获取包括网络资源的域名的配置命令，该配置命令用于获取与网络资源的域名对应的访问网络资源所需的ip地址列表，以及用于对网络资源进行控制，在获取到包括网络资源的域名的配置命令之后，acl配置设备生成包括网络资源的域名的第一域名系统(英文：domainnamesystem，简称：dns)解析请求报文，并向dns服务器发送该第一dns解析请求报文，以便dns服务器在接收到第一dns解析请求报文之后，根据第一dns解析请求报文对网络资源的域名进行解析，若dns服务器解析网络资源的域名成功，则会向acl配置设备发送第一dns解析成功报文，这样，acl配置设备便可接收来自dns服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文，该第一ip地址列表中可以包括至少一个ip地址，并将第一ip地址列表下发到acl配置设备的acl列表中，以实现对网络资源的控制。

本发明提供的acl配置方法，acl配置设备获取包括网络资源的域名的配置命令，然后将根据配置命令生成的包括网络资源的域名的第一dns解析请求报文发送至dns服务器，并接收来自dns服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文，最后将接收到的第一ip地址列表下发到acl配置设备的acl列表中，以实现对该网络资源的控制。通过配置命令使得网络资源的域名对应的ip地址列表可以自动配置到acl列表中，从而确保了在网络资源的域名对应的ip地址列表发生变化时，能够及时的根据变化后的ip地址列表对acl列表进行修改，从而避免了acl控制错误的问题出现。

结合第一方面，在一种可能的实现方式中，所述的网络资源的域名可以包括在网络资源的统一资源定位符(英文：uniformresourcelocator，简称：url)中，相应的，在acl配置设备生成第一dns解析请求报文之前，所述的acl配置方法还可以包括：acl配置设备根据网络资源的 url获取网络资源的域名。

结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，在dns服务器根据第一dns解析请求报文对网络资源的域名进行解析之后，若dns服务器解析网络资源的域名失败，则会向acl配置设备发送第一dns解析失败报文，此时，所述的acl配置方法还可以包括：acl配置设备接收来自dns服务器的用于通知解析网络资源的域名失败的第一dns解析失败报文，这样acl配置设备便可获知dns服务器解析网络资源的域名失败。或者，在dns服务器根据第一dns解析请求报文对网络资源的域名进行解析之后，若dns服务器解析网络资源的域名失败，dns服务器不会对第一dns解析请求报文进行响应，此时，所述的acl配置方法还可以包括：acl配置设备确定在预设时间内未接收到dns服务器的回应报文，则acl配置设备便可获知dns服务器解析网络资源的域名失败。

结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，为了能够实时的判断与网络资源的域名对应的ip地址列表是否发生变化，在acl配置设备将第一ip地址列表下发到acl配置设备的acl列表中之后，所述的acl配置方法还可以包括：acl配置设备启动定时器，并在定时器超时时，acl配置设备生成包括网络资源的域名的第二dns解析请求报文，然后向dns服务器发送该第二dns解析请求报文，以便dns服务器在接收到第二dns解析请求报文之后，根据第二dns解析请求报文对网络资源的域名进行解析，若dns服务器解析网络资源的域名成功，则会向acl配置设备发送第二dns解析成功报文，这样，acl配置设备便可接收来自dns服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第二ip地址列表的第二dns解析成功报文，该第二ip地址列表中可以包括至少一个ip地址，在acl配置设备接收到第二ip地址列表之后，可以判断第二ip地址列表与第一ip地址列表是否相同，若判断得到第二ip地址列表与第一ip地址列表不同，则acl配置设备可以根据第二ip地址列表更新acl列表。若判断得到第二ip地址列表与第一ip地址列表相同，则acl配置设备可以不做任何处理。

结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，所述的网络资源的域名可以包括在网络资源的url中，相应的，在acl配置设备生成第二dns解析请求报文之前，所述的acl配置方法还可以包括：acl配置设备根据网络资源的url获取网络资源的域名。

结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，在dns服务器根据第二dns解析请求报文对网络资源的域名进行解析之后，若dns服务器解析网络资源的域名失败，则会向acl配置设备发送第二dns解析失败报文，此时，所述的acl配置方法还可以包括：acl配置设备接收来自dns服务器的用于通知解析网络资源的域名失败的第二dns解析失败报文，这样acl配置设备便可获知dns服务器解析网络资源的域名失败。或者，在dns服务器根据第二dns解析请求报文对网络资源的域名进行解析之后，若dns服务器解析网络资源的域名失败，dns服务器不会对第二dns解析请求报文进行响应，此时，所述的acl配置方法还可以包括：acl配置设备确定在预设时间内未接收到dns服务器的回应报文，则acl配置设备便可获知dns服务器解析网络资源的域名失败。

结合第一方面和上述可能的实现方式，在另一种可能的实现方式中，由于在网络资源的域名的存活时间(英文：timetolive，简称：ttl)到期之后，与网络资源的域名对应的ip地址列表有可能会发生变化，因此所述的acl配置方法还可以包括：acl配置设备将网络资源的域名的ttl配置为定时器的定时周期。

本发明的第二方面，提供一种acl配置方法，包括：

当需要对某网络资源进行控制时，acl配置设备可以向dns服务器发送包括网络资源的域名的第一dns解析请求报文，此时，dns服务器便可以接收acl配置设备发送的包括网络资源的域名的第一dns解析请求报文，然后对接收到的第一dns解析请求报文中包括的网络资源的域名进行解析，并判断对网络资源的域名的解析是否成功，若对网络资源的域名的解析成功，则dns服务器向acl配置设备发送包括网络资源的域名，以及解析得到的与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文，该第一ip地址列表中包括至少一个 ip地址，以便acl配置设备根据第一dns解析成功报文实现对该网络资源的控制。

本发明提供的acl配置方法，dns服务器接收acl配置设备发送的包括网络资源的域名的第一dns解析请求报文，然后对接收到的第一dns解析请求报文中包括的网络资源的域名进行解析，并在解析成功时，向acl配置设备发送包括网络资源的域名，以及解析得到的与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文，以便acl配置设备将接收到的第一ip地址列表下发到acl配置设备的acl列表中，以实现对该网络资源的控制。通过向acl配置设备发送包括网络资源的域名，以及解析得到的与网络资源的域名对应的访问网络资源所需的ip地址列表的dns解析成功报文，使得acl配置设备可以将网络资源的域名对应的ip地址列表自动配置到acl列表中，从而确保了在网络资源的域名对应的ip地址列表发生变化时，能够及时的根据变化后的ip地址列表对acl列表进行修改，从而避免了acl控制错误的问题出现。

结合第二方面，在一种可能的实现方式中，所述的acl配置方法还可以包括：若dns服务器对网络资源的域名的解析失败，则向acl配置设备发送用于通知acl配置设备解析网络资源的域名失败的第一dns解析失败报文。或者，若dns服务器对网络资源的域名的解析失败，则不对第一dns解析请求报文进行响应。

结合第二方面和上述可能的实现方式，在另一种可能的实现方式中，为了能够实时的判断与网络资源的域名对应的ip地址列表是否发生变化，acl配置设备会启动一定时器，并在定时器超时时，向dns服务器发送包括网络资源的域名的第二dns解析请求报文，因此，相应的，所述的acl配置方法还可以包括：dns服务器接收acl配置设备发送的包括所述网络资源的域名的第二dns解析请求报文，然后对第二dns解析请求报文中包括的网络资源的域名进行解析，并判断对网络资源的域名的解析是否成功，若对网络资源的域名的解析成功，则dns服务器向acl配置设备发送包括网络资源的域名，以及解析得到的与网络资源的域名对应的访问网络资源所需的第二ip地址列表的第二dns解析成功报文，该第二 ip地址列表中包括至少一个ip地址，以便acl配置设备接收到的第二dns解析成功报文中包括的第二ip地址列表和第一ip地址列表确定与网络资源的域名对应的ip地址列表是否发生变化。

结合第二方面和上述可能的实现方式，在另一种可能的实现方式中，所述的acl配置方法还可以包括：若dns服务器对网络资源的域名的解析失败，则向acl配置设备发送用于通知acl配置设备解析网络资源的域名失败的第二dns解析失败报文。或者，若dns服务器对网络资源的域名的解析失败，则不对第二dns解析请求报文进行响应。

本发明的第三方面，提供一种acl配置方法，包括：

网络管理服务器获取包括网络资源的域名的配置命令，该配置命令用于获取与网络资源的域名对应的访问网络资源所需的ip地址列表，以及用于对网络资源进行控制，在获取到包括网络资源的域名的配置命令之后，网络管理服务器生成包括网络资源的域名的第一dns解析请求报文，并向dns服务器发送该第一dns解析请求报文，以便dns服务器在接收到第一dns解析请求报文之后，根据第一dns解析请求报文对网络资源的域名进行解析，若dns服务器解析网络资源的域名成功，则会向网络管理服务器发送第一dns解析成功报文，这样，网络管理服务器便可接收来自dns服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文，该第一ip地址列表中包括至少一个ip地址，并将第一ip地址列表发送至acl配置设备，以便acl配置设备将第一ip地址列表下发到acl列表中，以实现对网络资源的控制。

本发明提供的acl配置方法，网络管理服务器获取包括网络资源的域名的配置命令，然后将根据配置命令生成的包括网络资源的域名的第一dns解析请求报文发送至dns服务器，并接收来自dns服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文，最后将接收到的第一ip地址列表发送至acl配置设备，以便acl配置设备将第一ip地址列表下发到acl列表中，以实现对该网络资源的控制。通过配置命令实现了对网络资源的域名对应的ip地址列表的自动获取，并通过将ip地址列表发送至acl 配置设备，使得acl配置设备可以将网络资源的域名对应的ip地址篱笆自动配置到acl列表中，从而确保了在网络资源的域名对应的ip地址列表发生变化时，能够及时的根据变化后的ip地址列表对acl列表进行修改，从而避免了acl控制错误的问题出现。

结合第三方面，在一种可能的实现方式中，所述网络资源的域名可以包括在网络资源的url中，相应的，在网络管理服务器生成第一dns解析请求报文之前，所述的acl配置方法还可以包括：网络管理服务器根据网络资源的url获取网络资源的域名。

结合第三方面和上述可能的实现方式，在另一种可能的实现方式中，在dns服务器根据第一dns解析请求报文对网络资源的域名进行解析之后，若dns服务器解析网络资源的域名失败，则会向网络管理服务器发送第一dns解析失败报文，此时，所述的acl配置方法还可以包括：网络管理服务器接收来自dns服务器的用于通知解析网络资源的域名失败的第一dns解析失败报文，这样网络管理服务器可以将第一dns解析失败报文发送至acl配置设备，以便acl配置设备获知dns服务器解析网络资源的域名失败。或者，在dns服务器根据第一dns解析请求报文对网络资源的域名进行解析之后，若dns服务器解析网络资源的域名失败，dns服务器不会对第一dns解析请求报文进行响应，此时，所述的acl配置方法还可以包括：网络管理服务器确定在预设时间内未接收到dns服务器的回应报文，则网络管理服务器可以向acl配置设备发送用于通知解析网络资源的域名失败的回应报文，以便acl配置设备获知dns服务器解析网络资源的域名失败。

结合第三方面和上述可能的实现方式，在另一种可能的实现方式中，为了能够实时的判断与网络资源的域名对应的ip地址列表是否发生变化，在网络管理服务器将第一ip地址列表发送至acl配置设备之后，所述的acl配置方法还可以包括：网络管理服务器启动定时器，并在定时器超时时，网络管理服务器生成包括网络资源的域名的第二dns解析请求报文，然后向dns服务器发送该第二dns解析请求报文，以便dns服务器在接收到第二dns解析请求报文之后，根据第二dns解析请求报文对网络资源的域名进行解析，若dns服务器解析网络资源的域名成功，则会向网络管理服务器发送第二dns解析成功报文，这样，网络管理服务器便可接收来自dns服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第二ip地址列表的第二dns解析成功报文，该第二ip地址列表中可以包括至少一个ip地址，在网络管理服务器接收到第二ip地址列表之后，可以判断第二ip地址列表与第一ip地址列表是否相同，若判断得到第二ip地址列表与第一ip地址列表不同，则网络管理服务器可以将第二ip地址列表发送至acl配置设备，以便acl配置设备根据第二ip地址列表更新acl列表。若判断得到第二ip地址列表与第一ip地址列表相同，则网络管理服务器可以不做任何处理。

结合第三方面和上述可能的实现方式，在另一种可能的实现方式中，所述的网络资源的域名可以包括在网络资源的url中，相应的，在网络管理服务器生成第二dns解析请求报文之前，所述的acl配置方法还可以包括：网络管理服务器根据网络资源的url获取网络资源的域名。

结合第三方面和上述可能的实现方式，在另一种可能的实现方式中，在dns服务器根据第二dns解析请求报文对网络资源的域名进行解析之后，若dns服务器解析网络资源的域名失败，则会向网络管理服务器发送第二dns解析失败报文，此时，所述的acl配置方法还可以包括：网络管理服务器接收来自dns服务器的用于通知解析网络资源的域名失败的第二dns解析失败报文，这样网络管理服务器可以将第二dns解析失败报文发送至acl配置设备，以便acl配置设备获知dns服务器解析网络资源的域名失败。或者，在dns服务器根据第二dns解析请求报文对网络资源的域名进行解析之后，若dns服务器解析网络资源的域名失败，dns服务器不会对第二dns解析请求报文进行响应，此时，所述的acl配置方法还可以包括：网络管理服务器确定在预设时间内未接收到dns服务器的回应报文，则网络管理服务器可以向acl配置设备发送用于通知解析网络资源的域名失败的回应报文，以便acl配置设备获知dns服务器解析网络资源的域名失败。

结合第三方面和上述可能的实现方式，在另一种可能的实现方式中，由于在网络资源的域名的ttl到期之后，与网络资源的域名对应的ip地址列表有可能会发生变化，因此所述的acl配置方法还可以包括：网络管理服务器将网络资源的域名的ttl配置为定时器的定时周期。

本发明的第四方面，提供一种acl配置设备，包括：获取单元、生成单元、发送单元、接收单元和下发单元；

所述获取单元，用于获取配置命令，所述配置命令用于获取与网络资源的域名对应的访问所述网络资源所需的互联网协议ip地址列表，以及用于对所述网络资源进行控制，所述配置命令包括所述网络资源的域名；

所述生成单元，用于生成第一域名系统dns解析请求报文，所述第一dns解析请求报文包括所述获取单元获取到的所述配置命令中包括的所述网络资源的域名；

所述发送单元，用于向dns服务器发送所述生成单元生成的所述第一dns解析请求报文；

所述接收单元，用于接收来自所述dns服务器的第一dns解析成功报文，所述第一dns解析成功报文包括所述网络资源的域名，以及与所述网络资源的域名对应的访问所述网络资源所需的第一ip地址列表，所述第一ip地址列表中包括至少一个ip地址；

所述下发单元，用于将所述接收单元接收到的所述第一dns解析成功报文中包括的所述第一ip地址列表下发到所述acl配置设备的acl列表中，以实现对所述网络资源的控制。

具体的实现方式可以参考第一方面或第一方面的可能的实现方式提供的acl配置方法中acl配置设备的行为功能。

本发明的第五方面，提供一种acl配置设备，包括：acl模块、域名系统dns模块、内容可寻址存储器(英文：ternarycontentaddressablememory，简称：tcam)模块；

所述acl模块，用于获取配置命令，所述配置命令用于获取与网络资源的域名对应的访问所述网络资源所需的互联网协议ip地址列表，以及用于对所述网络资源进行控制，所述配置命令包括所述网络资源的域名，将所述网络资源的域名携带在ip地址解析消息中传输至所述dns模块；

所述dns模块，用于生成第一dns解析请求报文，所述第一dns解析请求报文包括所述网络资源的域名，向dns服务器发送所述第一 dns解析请求报文，并接收来自所述dns服务器的第一dns解析成功报文，所述第一dns解析成功报文包括所述网络资源的域名，以及与所述网络资源的域名对应的访问所述网络资源所需的第一ip地址列表，所述第一ip地址列表中包括至少一个ip地址，将所述第一ip地址传输至所述acl模块；

所述acl模块，还用于将所述第一ip地址列表下发到所述tcam模块的acl列表中，以实现对所述网络资源的控制。

具体的实现方式可以参考第一方面或第一方面的可能的实现方式提供的acl配置方法中acl配置设备的行为功能。

本发明的第六方面，提供一种dns服务器，包括：接收单元、解析单元、判断单元和发送单元；

所述接收单元，用于接收acl配置设备发送的第一dns解析请求报文，所述第一dns解析请求报文包括网络资源的域名；

所述解析单元，用于对所述接收单元接收到的所述第一dns解析请求报文中包括的所述网络资源的域名进行解析；

判断单元，用于判断所述解析单元解析所述网络资源的域名是否成功；

所述发送单元，用于若所述判断单元判断得到所述解析单元解析所述网络资源的域名成功，则向所述acl配置设备发送第一dns解析成功报文，所述第一dns解析成功报文包括所述网络资源的域名，以及解析得到的与所述网络资源的域名对应的访问所述网络资源所需的第一ip地址列表，所述第一ip地址列表中包括至少一个ip地址。

具体的实现方式可以参考第二方面或第二方面的可能的实现方式提供的acl配置方法中dns服务器的行为功能。

本发明的第七方面，提供一种网络管理服务器，包括：获取单元、生成单元、发送单元和接收单元；

所述生成单元，用于生成第一域名系统dns解析请求报文，所述第一dns解析请求报文包括所述网络资源的域名；

所述发送单元，用于向dns服务器发送所述生成单元生成的所述第一dns解析请求报文；

所述发送单元，还用于将所述接收单元接收到的所述第一dns解析成功报文包括的所述第一ip地址列表发送至acl配置设备，以便所述acl配置设备将所述第一ip地址列表下发到所述acl配置设备的acl列表中，以实现对所述网络资源的控制。

具体的实现方式可以参考第三方面或第三方面的可能的实现方式提供的acl配置方法中网络管理服务器的行为功能。

本发明的第八方面，提供一种acl配置设备，包括：至少一个处理器、存储器、至少一个通信接口和通信总线；

所述存储器，用于存储指令；

所述处理器，用于执行第一方面或第一方面的可能的实现方式提供的acl配置方法，以实现第四方面中获取单元、生成单元和下发单元的功能。

所述通信接口，用于执行第一方面或第一方面的可能的实现方式提供的acl配置方法，以实现第四方面中发送单元和接收单元的功能。

本发明的第九方面，提供一种dns服务器，包括：至少一个处理器、存储器、至少一个通信接口和通信总线；

所述存储器，用于存储指令；

所述处理器，用于执行第二方面或第二方面的可能的实现方式提供的acl配置方法，以实现第六方面中解析单元和判断单元的功能。

所述通信接口，用于执行第二方面或第二方面的可能的实现方式提供的acl配置方法，以实现第六方面中发送单元和接收单元的功能。

本发明的第十方面，提供一种网络管理服务器，包括：至少一个处理器、存储器、至少一个通信接口和通信总线；

所述存储器，用于存储指令；

所述处理器，用于执行第三方面或第三方面的可能的实现方式提供的acl配置方法，以实现第七方面中获取单元和生成单元的功能。

所述通信接口，用于执行第三方面或第三方面的可能的实现方式提供的acl配置方法，以实现第七方面中发送单元和接收单元的功能。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种应用本发明的系统架构的简化示意图；

图2为本发明实施例提供的另一种应用本发明的系统架构的简化示意图；

图3为本发明实施例提供的一种acl配置方法的流程图；

图4为本发明实施例提供的另一种acl配置方法的流程图；

图5为本发明实施例提供的又一种acl配置方法的流程图；

图6为本发明实施例提供的又一种acl配置方法的流程图；

图7为本发明实施例提供的又一种acl配置方法的流程图；

图8为本发明实施例提供一种acl配置设备的组成示意图；

图9为本发明实施例提供另一种acl配置设备的组成示意图；

图10为本发明实施例提供又一种acl配置设备的组成示意图；

图11为本发明实施例提供一种dns服务器的组成示意图；

图12为本发明实施例提供一种网络管理服务器的组成示意图；

图13为本发明实施例提供一种acl配置设备的硬件结构示意图；

图14为本发明实施例提供一种dns服务器的硬件结构示意图；

图15为本发明实施例提供一种网络管理服务器的硬件结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在现有技术中当需要对某网络资源进行控制时，操作人员可以将该网络资源的域名对应的ip地址列表手动配置在acl列表中，在网络资源的域名对应的ip地址列表发生变化时，同样需要操作人员根据变化后的ip地址列表手动对acl列表进行修改，这样便容易出现修改acl列表不及时的情况，从而造成acl控制错误。

例如，以网络资源为网站为例，假设需要控制公司员工只能访问公司内的网站，那么可以由操作人员获取公司内的网站的域名对应的ip地址列表，并将获取到的ip地址列表手动配置到acl列表中，在配置成功之后，公司员工就只能访问公司内的网站。若公司内的网站的域名对应的ip地址列表发生变化，此时，就需要操作人员根据变化后的ip地址列表对acl列表进行手动修改。但是若操作人员未能及时的对acl列表进行修改，从而使得公司员工无法访问公司内的网站，造成acl控制错误。

为了避免修改acl列表不及时造成acl控制错误的问题出现，本发明提供一种acl配置方法，其基本原理是：当需要对某网络资源进行控制时，acl配置设备可以获取包括该网络资源的域名的配置命令，然后生成包括该网络资源的域名的第一dns解析请求报文，并将该第一dns解析请求报文发送至dns服务器，以便dns服务器做出响应，在dns服务器根据第一dns解析请求报文对网络资源的域名解析成功之后，acl配置设备可以接收来自dns服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文，并将接收到第一dns解析成功报文中包括的第一ip地址列表下发到acl配置设备的acl列表中，以实现对该网络资源的控制。这样，通过配置命令使得网络资源的域名对应的ip地址列表可以自动配置到acl列表中，这样，在网络资源的域名对应的ip地址列表发生变化时，便能够及时的根据变化后的ip地址列表对acl列表进行修改，从而避免了acl控制错误的问题出现。

需要说明的是，本发明中所述的第一ip地址列表和第二ip地址列表中包括的ip地址可以是采用互联网协议第四版本(英文：internetprotocolversion4，简称：ipv4)协议构建的ip地址，也可以是采用下一版本的互联网协议第六版本(英文：internetprotocolversion6，简称：ipv6)协议构建的ip地址，本发明在此并不做具体限制。

下面将结合附图对本发明的实施方式进行详细描述。

如图1所示，图1示出的是可以应用本发明的系统架构的简化示意图。该系统架构可以包括acl配置设备101、终端102和dns服务器103。

其中，acl配置设备101用于配置acl功能，以便于对网络资源的访问进行控制。

在本发明实施例中，acl配置设备101可以为具备配置acl功能的设备，例如，交换机、路由器。在具体实现中，作为一种实施例，如图1所示的，acl配置设备101为路由器。

用户通过终端102可以访问网络中的网络资源。终端102可以为手机、台式计算机、平板电脑、笔记本电脑、超级移动个人计算机(英文：ultra-mobilepersonalcomputer，简称：umpc)、上网本、个人数字助理(英文：personaldigitalassistant，简称：pda)等等。在具体的实现中，作为一种实施例，如图1所示，终端102为笔记本电脑。

dns服务器103指的是保存有网络中所有网络资源的域名和与该网络资源的域名对应的ip地址列表，并具有将网络资源的域名进行解析，以得到与该网络资源的域名对应的ip地址的功能的服务器。

进一步的，如图2所示，该系统架构还可以包括网络管理服务器104。

网络管理服务器104是用于对acl配置设备101进行配置、管理、监控等操作的服务器。

图3为本发明实施例提供的一种acl配置方法的流程图，如图3所示，该方法可以包括：

201、acl配置设备获取配置命令。

其中，配置命令中包括网络资源的域名。具体的，操作人员可以在acl配置设备中增加一新的配置命令，该配置命令用于获取需进行控制的网络资源的域名对应的访问该网络资源所需的ip地址列表、以及用于对网络资源进行控制，这样，当需要对某网络资源进行控制时，操作人员可以将包括该网络资源的域名的配置命令输入到acl配置设备中，此时acl配置设备便可以获取到该包括该网络资源的域名的配置命令。该网络资源的域名在网络中唯一。

另外，在本发明实施例中，操作人员也可以将配置命令输入到与acl配置设备连接的设备上，并由该设备将配置命令传输至acl配置设备，此时acl配置设备也就可以获取到配置命令了。

202、acl配置设备生成第一dns解析请求报文。

其中，该第一dns解析请求报文包括网络资源的域名。在获取到包括网络资源的域名的配置命令之后，acl配置设备可以生成包括该网络资源的域名的第一dns解析请求报文。

203、acl配置设备向dns服务器发送第一dns解析请求报文。

其中，在acl配置设备生成第一dns解析请求报文之后，可以将生成的包括该网络资源的域名的第一dns解析请求报文发送至dns服务器，以便dns服务器根据接收到的第一dns解析请求报文，和预先存储的网络资源的域名与ip地址列表的对应关系，对网络资源的域名进行解析，以得到该网络资源的域名对应的第一ip地址列表，并将得到的该网络资源的域名对应的第一ip地址列表和网络资源的域名携带到第一dns解析成功报文中发送至acl配置设备。

204、acl配置设备接收来自dns服务器的第一dns解析成功报文。

其中，第一dns解析成功报文包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表，该第一ip地址列表中包括至少一个ip地址。

205、acl配置设备将第一ip地址列表下发到acl配置设备的acl列表中，以实现对网络资源的控制。

其中，在acl配置设备接收到dns服务器发送的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文之后，acl配置设备便可以将第一ip地址列表下发到acl配置设备的acl列表中，此时acl功能便配置成功，也就是说，即可以实现对该网络资源的控制。

图4为本发明实施例提供的另一种acl配置方法的流程图，如图4所示，该方法可以包括：

301、dns服务器接收acl配置设备发送的第一dns解析请求报文。

其中，第一dns解析请求报文包括网络资源的域名；当需要对某网络资源进行控制时，acl配置设备可以向dns服务器发送包括网络资源的域名的第一dns解析请求报文，此时，dns服务器便可以接收acl配置设备发送的包括网络资源的域名的第一dns解析请求报文。

302、dns服务器对第一dns解析请求报文中包括的网络资源的域名进行解析。

303、dns服务器判断解析是否成功。

其中，在dns服务器接收到第一dns解析请求报文之后，可以对接收到的第一dns解析请求报文中包括的网络资源的域名进行解析，并判断对网络资源的域名的解析是否成功。

304、若解析成功，则dns服务器向acl配置设备发送第一dns解析成功报文。

其中，第一dns解析成功报文包括网络资源的域名，以及解析得到的与网络资源的域名对应的访问网络资源所需的第一ip地址列表，第一ip地址列表中包括至少一个ip地址。若对网络资源的域名的解析成功，则dns服务器可以向acl配置设备发送包括网络资源的域名，以及解析得到的与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文，以便acl配置设备根据第一dns解析成功报文实现对该网络资源的控制。

图5为本发明实施例提供的又一种acl配置方法的流程图，如图5所示，该方法可以包括：

401、网络管理服务器获取配置命令。

其中，操作人员可以在网络管理服务器中增加一新的配置命令，该配置命令用于获取需进行控制的网络资源的域名对应的访问该网络资源所需的ip地址列表、以及用于对网络资源进行控制，这样，当需要对某网络资源进行控制时，操作人员可以将包括该网络资源的域名的配置命令输入到网络管理服务器中，此时网络管理服务器便可以获取到该包括该网络资源的域名的配置命令。

另外，在本发明实施例中，操作人员也可以将配置命令输入到与网络管理服务器连接的设备上，并由该设备将配置命令传输至网络管理服务器，此时网络管理服务器也就可以获取到配置命令了。

402、网络管理服务器生成第一dns解析请求报文。

其中，第一dns解析请求报文包括网络资源的域名。在获取到包括网络资源的域名的配置命令之后，网络管理服务器可以生成包括该网络资源的域名的第一dns解析请求报文。

403、网络管理服务器向dns服务器发送第一dns解析请求报文。

其中，网络管理服务器生成第一dns解析请求报文之后，可以将生成的包括该网络资源的域名的第一dns解析请求报文发送至dns服务器，以便dns服务器根据接收到的第一dns解析请求报文，和预先存储的网络资源的域名与ip地址列表的对应关系，对网络资源的域名进行解析，以得到该网络资源的域名对应的第一ip地址列表，并将得到的该网络资源的域名对应的第一ip地址列表和网络资源的域名携带到第一dns解析成功报文中发送至网络管理服务器。

404、网络管理服务器接收来自dns服务器的第一dns解析成功报文。

其中，第一dns解析成功报文包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表，第一ip地址列表中包括至少一个ip地址。

405、网络管理服务器将第一ip地址列表发送至acl配置设备。

其中，在网络管理服务器接收到dns服务器发送的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文之后，网络管理服务器便可以将第一ip地址列表发送至acl配置设备，以便acl配置设备将第一ip地址列表下发到acl配置设备的acl列表中，此时acl功能便配置成功，也就是说，即可以实现对该网络资源的控制。

本发明提供的acl配置方法，网络管理服务器获取包括网络资源的域名的配置命令，然后将根据配置命令生成的包括网络资源的域名的第一dns解析请求报文发送至dns服务器，并接收来自dns服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文，最后将接收到的第一ip地址列表发送至acl配置设备，以便acl配置设备将第一ip地址列表下发到acl列表中，以实现对该网络资源的控制。通过配置命令实现了对网络资源的域名对应的ip地址列表的自动获取，并通过将ip地址列表发送至acl配置设备，使得acl配置设备可以将网络资源的域名对应的ip地址篱笆自动配置到acl列表中，从而确保了在网络资源的域名对应的ip地址列表发生变化时，能够及时的根据变化后的ip地址列表对acl列表进行修改，从而避免了acl控制错误的问题出现。

图6为本发明实施例提供的又一种acl配置方法的流程图，如图6所示，该方法可以包括：

其中，在本发明实施例中，示例性的，以执行acl配置方法的acl配置设备包括acl模块、dns模块和tcam模块为例对本发明的acl配置方法进行具体描述。

501、acl配置设备获取配置命令。

其中，所述的配置命令用于获取与网络资源的域名对应的访问网络资源所需的ip地址列表，以及用于对网络资源进行控制，且配置命令包括网络资源的域名，该网络资源的域名在网络中唯一。具体的，当需要对某网络资源进行控制时，操作人员可以将包括该网络资源的域名的配置命令输入到acl配置设备中，此时acl配置设备的acl模块便可以获取到包括该网络资源的域名的配置命令。

示例性的，对网络资源进行控制的控制类型可以包括但不限于：允许用户访问该网络资源，不允许用户访问该网络资源。

需要说明的是，本发明实施例在此仅是控制类型进行了举例说明，通过acl功能实现的对网络资源的控制包括但不限于上述列举的控制类型。

其中，进一步可选的，对于控制类型是允许用户访问网络资源的情况，所述的“配置命令用于对网络资源进行控制”具体可以为“配置命令用于允许用户对网络资源进行访问”，例如，配置命令具体为：rulepermitipdestinationurlwww.xxx.com，其中，rule表示规则，permit表示允许用户访问，www.xxx.com为网络资源的域名，ipdestinationurlwww.xxx.com表示网络资源的域名对应的目的ip地址，acl设备获取到rulepermitipdestinationurlwww.xxx.com后，便可根据该命令向dns服务器请求域名为www.xxx.com的网络资源对应的目的ip地址列表，并可以获知该命令用于允许用户访问域名为www.xxx.com的网络资源。对于控制类型是不允许用户访问网络资源的情况，所述的“配置命令用于对网络资源进行控制”具体可以为“配置命令用于禁止用户对网络资源进行访问”，例如，配置命令具体为：ruledenyipdestinationurlwww.xxx.com， rule表示规则，deny表示不允许用户访问，www.xxx.com为网络资源的域名，ipdestinationurlwww.xxx.com表示网络资源的域名对应的目的ip地址，acl设备获取到ruledenyipdestinationurlwww.xxx.com后，便可根据该命令向dns服务器请求域名为www.xxx.com的网络资源对应的目的ip地址列表，并可以获知该命令用于禁止用户访问域名为www.xxx.com的网络资源。

另外，在本发明所述的配置命令的基础上，还可以进一步的在acl配置设备上配置用于控制用户访问该网络资源时的优先级最高或最低的命令、用于控制用户访问该网络资源时采用指定的传输路径的命令、用于控制用户访问该网络资源的带宽的命令等等，以便对该网络资源进行进一步的控制。对于对网络资源进行进一步控制的命令可以参考现有技术中相应的配置命令，本发明实施例在此不再详细赘述。

其中，下述步骤中将以步骤501中获取的配置命令为rulepermitipdestinationurlwww.xxx.com为例进行介绍。

502、acl配置设备生成第一dns解析请求报文。

其中，该第一dns解析请求报文包括网络资源的域名。在acl配置设备的acl模块获取到包括网络资源的域名的配置命令之后，可以将获取到的网络资源的域名携带在ip地址解析消息中传输至acl配置设备的dns模块，此时，acl配置设备的dns模块可以接收acl模块发送的包括网络资源的域名的ip地址解析消息，并根据该ip地址解析消息生成包括网络资源的域名的第一dns解析请求报文。

示例性的，在acl配置设备的acl模块获取到配置命令rulepermitipdestinationurlwww.xxx.com之后，可以将www.xxx.com携带在ip地址解析消息中传输至acl配置设备的dns模块，此时，acl配置设备的dns模块可以接收acl模块发送的包括www.xxx.com的ip地址解析消息，并根据该ip地址解析消息生成包括www.xxx.com的第一dns解析请求报文。

其中，在本发明实施例中，所述的网络资源的域名可以包括在网络资源的url中，这样在acl配置设备生成第一dns解析请求报文之前，acl配置设备的acl模块可以先根据网络资源的url获取网络资源的域名，然后将获取到的网络资源的域名携带在ip地址解析消息中传输至acl配置设备的dns模块，以便acl配置设备的dns模块生成第一dns解析请求报文。

503、acl配置设备向dns服务器发送第一dns解析请求报文。

其中，在acl配置设备的dns模块生成包括网络资源的域名的第一dns解析请求报文之后，可以将第一dns解析请求报文发送至dns服务器。

示例性的，acl配置设备的dns模块将包括www.xxx.com的第一dns解析请求报文发送至dns服务器。

504、dns服务器接收acl配置设备发送的第一dns解析请求报文。

其中，dns服务器可以接收acl配置设备的dns模块发送的包括网络资源的域名的第一dns解析请求报文。

505、dns服务器对第一dns解析请求报文中包括的网络资源的域名进行解析。

其中，在dns服务器接收到acl配置设备的dns模块发送的包括网络资源的域名的第一dns解析请求报文之后，可以根据第一dns解析请求报文和预先存储的网络资源的域名以及ip地址列表的对应关系，对网络资源的域名进行解析。

示例性的，dns服务器接收到acl配置设备的dns模块发送的包括www.xxx.com的第一dns解析请求报文之后，可以根据第一dns解析请求报文和预先存储的网络资源的域名以及ip地址列表的对应关系，对www.xxx.com进行解析。

506、dns服务器判断解析是否成功。

其中，在dns服务器对第一dns解析请求报文中包括的网络资源的域名进行解析之后，可以判断对网络资源的域名的解析是否成功，若对网络资源的域名的解析成功，则执行步骤507；若对网络资源的域名的解析失败，则执行步骤508或509。

507、dns服务器向acl配置设备发送第一dns解析成功报文。

其中，当dns服务器对网络资源的域名的解析成功时，dns服务器可以将网络资源的域名，以及解析得到的与网络资源的域名对应的访问网络资源所需的第一ip地址列表携带在第一dns解析成功报文中发送至acl配置设备的dns模块。第一ip地址列表中可以包括至少一个ip地址。

示例性的，dns服务器根据第一dns解析请求报文和预先存储的网络资源的域名以及ip地址列表的对应关系，对www.xxx.com进行解析之后，若解析成功，则可以得到与www.xxx.com对应的访问www.xxx.com所需的第一ip地址列表，此时，便可以将www.xxx.com，以及解析得到的与www.xxx.com对应的访问www.xxx.com所需的第一ip地址列表携带在第一dns解析成功报文中发送至acl配置设备的dns模块。

508、dns服务器向acl配置设备发送第一dns解析失败报文。

其中，当dns服务器对网络资源的域名的解析失败时，在一种可能的实现方式中，dns服务器可以向acl配置设备的dns模块发送用于通知acl配置设备解析网络资源的域名失败的第一dns解析失败报文。

示例性的，dns服务器根据第一dns解析请求报文和预先存储的网络资源的域名以及ip地址列表的对应关系，对www.xxx.com进行解析之后，若解析失败，则可以向acl配置设备的dns模块发送用于通知acl配置设备解析www.xxx.com失败的第一dns解析失败报文。

509、dns服务器不对第一dns解析请求报文进行响应。

其中，当dns服务器对网络资源的域名的解析失败时，在另一种可能的实现方式中，dns服务器可以不对第一dns解析请求报文进行响应。

510、acl配置设备接收来自dns服务器的第一dns解析成功报文。

其中，当dns服务器对网络资源的域名的解析成功时，对应于步骤507，acl配置设备的dns模块可以接收来自dns服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文。

511、acl配置设备将第一ip地址列表下发到acl配置设备的acl列表中，以实现对网络资源的控制。

其中，在acl配置设备的dns模块接收到来自dns服务器的第一dns解析成功报文之后，可以将第一dns解析成功报文传输至acl配置设备的acl模块，acl配置设备的acl模块便将第一dns解析成功报文中包括的第一ip地址列表下发到acl配置设备的tcam模块的acl列表中，以完成配置，从而实现对网络资源的控制。

示例性的，在acl配置设备的dns模块接收到来自dns服务器的包括www.xxx.com，以及解析得到的与www.xxx.com对应的访问www.xxx.com所需的第一ip地址列表的第一dns解析成功报文之后，可以根据配置命令将第一dns解析成功报文中包括的第一ip地址列表和配置命令中的“permit”下发到acl配置设备的tcam模块的acl列表中，以完成配置，从而实现对域名为www.xxx.com的网络资源的控制，即控制用户可以访问域名为www.xxx.com的网络资源。

512、acl配置设备接收dns服务器发送的第一dns解析失败报文。

其中，当dns服务器对网络资源的域名的解析失败时，对应于步骤508的实现方式，acl配置设备的dns模块接收dns服务器发送的用于通知acl配置设备解析网络资源的域名失败的第一dns解析失败报文，此时acl配置设备的dns模块可以给acl配置设备的acl模块返回无效ip地址。

513、acl配置设备确定在预设时间内未接收到dns服务器的回应报文。

其中，当dns服务器对网络资源的域名的解析失败时，对应于步骤509的实现方式，acl配置设备的dns模块确定在预设时间内未接收到dns服务器的回应报文，此时acl配置设备的dns模块可以给acl配置设备的acl模块返回无效ip地址。

为了在网络资源的域名对应的ip地址发生变化后，acl配置设备能够及时的对acl列表进行同步修改，进一步的，acl配置方法还可以包括以下步骤：

514、acl配置设备启动定时器。

其中，定时器的定时周期可以是根据实际应用场景的需求进行设置的。优选的可以执行以下步骤515。

515、acl配置设备将网络资源的域名的ttl配置为定时器的定时周期。

516、在定时器超时时，acl配置设备生成第二dns解析请求报文。

其中，第二dns解析请求报文包括网络资源的域名。

示例性的，在定时器超时时，acl配置设备的dns模块可以生成包括www.xxx.com的第二dns解析请求报文。

在本发明实施例中，所述的网络资源的域名可以包括在网络资源的url中，这样在acl配置设备生成第二dns解析请求报文之前，acl配置设备可以先根据网络资源的url获取网络资源的域名，然后再生成第二dns解析请求报文。

517、acl配置设备向dns服务器发送第二dns解析请求报文。

示例性的，acl配置设备的dns模块将包括www.xxx.com的第二dns解析请求报文发送至dns服务器。

518、dns服务器接收acl配置设备发送的第二dns解析请求报文。

519、dns服务器对第二dns解析请求报文中包括的网络资源的域名进行解析。

示例性的，dns服务器接收到acl配置设备的dns模块发送的包括www.xxx.com的第二dns解析请求报文之后，可以根据第二dns解析请求报文和预先存储的网络资源的域名以及ip地址列表的对应关系，对www.xxx.com进行解析。

520、dns服务器判断解析是否成功。

其中，在dns服务器对第二dns解析请求报文中包括的网络资源的域名进行解析之后，可以判断对网络资源的域名的解析是否成功，若对网络资源的域名的解析成功，则执行步骤521；若对网络资源的域名的解析失败，则执行步骤522或523。

521、dns服务器向acl配置设备发送第二dns解析成功报文。

其中，第二dns解析成功报文中包括网络资源的域名，以及解析得到的与网络资源的域名对应的访问网络资源所需的第二ip地址列表。第二ip地址列表中可以包括至少一个ip地址。

示例性的，dns服务器根据第二dns解析请求报文和预先存储的网络资源的域名以及ip地址列表的对应关系，对www.xxx.com进行解析之后，若解析成功，则可以得到与www.xxx.com对应的访问www.xxx.com所需的第二ip地址列表，此时，便可以将www.xxx.com，以及解析得到的与www.xxx.com对应的访问www.xxx.com所需的第二ip地址列表携带在第二dns解析成功报文中发送至acl配置设备的dns模块。

522、dns服务器向acl配置设备发送第二dns解析失败报文。

示例性的，dns服务器根据第二dns解析请求报文和预先存储的网络资源的域名以及ip地址列表的对应关系，对www.xxx.com进行解析之后，若解析失败，则可以向acl配置设备的dns模块发送用于通知acl配置设备解析www.xxx.com失败的第二dns解析失败报文。

其中，相应的，在dns服务器向acl配置设备发送第二dns解析失败报文之后，acl配置设备可以接来自dns服务器的用于通知解析网络资源的域名失败的第二dns解析失败报文。

523、dns服务器不对第二dns解析请求报文进行响应。

其中，若dns服务器不对第二dns解析请求报文进行响应，则相应的，acl配置设备可以确定预定时间内未接收到dns服务器发送的响应报文。

524、acl配置设备接收来自dns服务器的第二dns解析成功报文。

其中，第二dns解析成功报文包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第二ip地址列表，第二ip地址列表中包括至少一个ip地址。

525、acl配置设备判断第二ip地址列表与第一ip地址列表是否相同。

其中，在acl配置设备的acl模块接收到第二dns解析成功报文之后，可以根据第二dns解析成功报文判断第二ip地址列表与第一ip地址列表是否相同，若第二ip地址列表与第一ip地址列表不同，则执行以下步骤526，若第二ip地址列表与第一ip地址列表相同，则可以不做任何处理。

示例性的，在acl配置设备的dns模块接收到来自dns服务器的包括www.xxx.com，以及解析得到的与www.xxx.com对应的访问www.xxx.com所需的第二ip地址列表的第二dns解析成功报文之后，可以判断第二ip地址列表与第一ip地址列表是否相同。

526、acl配置设备根据第二ip地址列表更新acl列表。

具体的，acl配置设备的acl模块可以将第二ip地址列表全部下发到tcam模块中，以便对acl列表进行更新，也可以将第二ip地址列表中与第一ip地址列表中不同的ip地址下发到tcam模块中，以便对acl列表进行更新。

需要说明的是，为了能够对网络资源的域名对应的ip地址列表是否发生变化进行周期性的判断，可以重复执行步骤514-步骤526。

需要说明的是，在本发明实施例中，步骤516-步骤524的具体描述与本发明实施例中步骤502-步骤513中相应内容的具体描述类似，对于步骤516-步骤524的具体实现本发明实施例在此不再一一赘述。

需要说明的是，本发明提供的acl配置方法还可以应用到防火墙或数据处理设备(英文：dataprocessinginstallation，简称：dpi)中，以实现控制和监控访问的目的，其实现过程与上述过程类似，本发明实施例在此不再一一赘述。

并且，通过对网络资源的域名对应的ip地址列表的自动获取，以及对acl功能的自动配置，提高了配置效率，且通过使用定时器，使得在网络资源的域名对应的ip地址列表发生变化后，acl配置设备可以及时的获取到变化后的ip地址列表，进而确保了对acl列表的及时更新。

图7为本发明实施例提供的又一种acl配置方法的流程图，其中，如图7所示，该方法可以包括：

601、网络管理服务器获取配置命令。

其中，所述的配置命令用于获取与网络资源的域名对应的访问网络资源所需的ip地址列表，以及用于对网络资源进行控制，且配置命令包括网络资源的域名，该网络资源的域名在网络中唯一。

示例性的，对网络资源进行控制的控制类型可以包括但不限于：允许用户访问该网络资源，不允许用户访问该网络资源。其中，进一步可选的，对于控制类型是允许用户访问网络资源的情况，所述的“配置命令用于对网络资源进行控制”具体可以为“配置命令用于允许用户对网络资源进行访问”，例如，配置命令具体为：rulepermitipdestinationurlwww.xxx.com。对于控制类型是不允许用户访问网络资源的情况，所述的“配置命令用于对网络资源进行控制”具体可以为“配置命令用于禁止用户对网络资源进行访问”，例如，配置命令具体为：ruledenyipdestinationurlwww.xxx.com。其中，对于配置命令的具体解释与本发明另一实施例的步骤501中对配置命令的解释类似，配置命令的具体解释可以参考本发明另一实施例的步骤501中的具体描述，本发明实施例在此不再一一赘述。

602、网络管理服务器生成第一dns解析请求报文。

其中，该第一dns解析请求报文包括网络资源的域名。

在本发明实施例中，所述的网络资源的域名可以包括在网络资源的中，这样在网络管理服务器生成第一dns解析请求报文之前，网络管理服务器可以先根据网络资源的url获取网络资源的域名，然后生成第一dns解析请求报文。

603、网络管理服务器向dns服务器发送第一dns解析请求报文。

604、dns服务器接收网络管理服务器发送的第一dns解析请求报文。

605、dns服务器对第一dns解析请求报文中包括的网络资源的域名进行解析。

其中，在dns服务器接收到网络管理服务器发送的包括网络资源的域名的第一dns解析请求报文之后，可以根据第一dns解析请求报文和预先存储的网络资源的域名以及ip地址列表的对应关系，对网络资源的域名进行解析。

606、dns服务器判断解析是否成功。

其中，在dns服务器对第一dns解析请求报文中包括的网络资源的域名进行解析之后，可以判断对网络资源的域名的解析是否成功，若对网络资源的域名的解析成功，则执行步骤607；若对网络资源的域名的解析失败，则执行步骤608或609。

607、dns服务器向网络管理服务器发送第一dns解析成功报文。

其中，第一dns解析成功报文包括网络资源的域名，以及解析得到的与网络资源的域名对应的访问网络资源所需的第一ip地址列表。第一ip地址列表中可以包括至少一个ip地址。

608、dns服务器向网络管理服务器发送第一dns解析失败报文。

其中，当dns服务器对网络资源的域名的解析失败时，在一种可能的实现方式中，dns服务器可以向网络管理服务器发送用于通知解析网络资源的域名失败的第一dns解析失败报文。

609、dns服务器不对第一dns解析请求报文进行响应。

其中，当dns服务器对网络资源的域名的解析失败时，在另一种可能的实现方式中，dns服务器可以不对第一dns解析请求报文进行响应。

610、网络管理服务器接收来自dns服务器的第一dns解析成功报文。

其中，当dns服务器对网络资源的域名的解析成功时，对应于步骤607，网络管理服务器可以接收来自dns服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文。

611、网络管理服务器将第一ip地址列表发送至acl配置设备。

其中，在网络管理服务器接收到来自dns服务器的第一dns解析成功报文之后，可以将第一ip地址列表传输至acl配置设备，以便acl配置设备将第一ip地址列表下发到acl配置设备的acl列表中，以完成配置，从而实现对网络资源的控制。

612、网络管理服务器接收dns服务器发送的第一dns解析失败报文。

其中，当dns服务器对网络资源的域名的解析失败时，对应于步骤 608的实现方式，网络管理服务器接收dns服务器发送的用于通知解析网络资源的域名失败的第一dns解析失败报文，此时网络管理服务器可以将第一dns解析失败报文发送至acl配置设备，以便acl配置设备获知dns服务器解析网络资源的域名失败。

613、网络管理服务器确定在预设时间内未接收到dns服务器的回应报文。

其中，当dns服务器对网络资源的域名的解析失败时，对应于步骤609的实现方式，网络管理服务器确定在预设时间内未接收到dns服务器的回应报文，此时网络管理服务器可以向acl配置设备发送用于通知解析网络资源的域名失败的回应报文，以便acl配置设备获知dns服务器解析网络资源的域名失败。

为了在网络资源的域名对应的ip地址发生变化后，acl配置设备能够及时的对acl列表进行同步修改，进一步的，acl配置方法还可以包括以下步骤：

614、网络管理服务器启动定时器。

其中，定时器的定时周期可以是根据实际应用场景的需求进行设置的。优选的可以执行以下步骤615。

615、网络管理服务器将网络资源的域名的ttl配置为定时器的定时周期。

616、在定时器超时时，网络管理服务器生成第二dns解析请求报文。

其中，第二dns解析请求报文包括网络资源的域名。

在本发明实施例中，所述的网络资源的域名可以包括在网络资源的中，这样在网络管理服务器生成第二dns解析请求报文之前，网络管理服务器可以先根据网络资源的url获取网络资源的域名，然后再生成第二dns解析请求报文。

617、网络管理服务器向dns服务器发送第二dns解析请求报文。

618、dns服务器接收网络管理服务器发送的第二dns解析请求报文。

619、dns服务器对第二dns解析请求报文中包括的网络资源的域名进行解析。

620、dns服务器判断解析是否成功。

其中，在dns服务器对第二dns解析请求报文中包括的网络资源的域名进行解析之后，可以判断对网络资源的域名的解析是否成功，若对网络资源的域名的解析成功，则执行步骤621；若对网络资源的域名的解析失败，则执行步骤622或623。

621、dns服务器向网络管理服务器发送第二dns解析成功报文。

622、dns服务器向网络管理服务器发送第二dns解析失败报文。

623、dns服务器不对第二dns解析请求报文进行响应。

624、网络管理服务器接收来自dns服务器的第二dns解析成功报文。

625、网络管理服务器判断第二ip地址列表与第一ip地址列表是否相同。

其中，在网络管理服务器接收到第二dns解析成功报文之后，可以根据第二dns解析成功报文判断第二ip地址列表与第一ip地址列表是否相同，若第二ip地址列表与第一ip地址列表不同，则执行以下步骤626，若第二ip地址列表与第一ip地址列表相同，则可以不做任何处理。

626、网络管理服务器将第二ip地址列表发送至acl配置设备。

具体的，当第二ip地址列表与第一ip地址列表不同时，网络管理服务器可以将第二ip地址列表发送至acl配置设备，以便acl配置设备根据第二ip地址列表更新acl列表。

需要说明的是，在本发明实施例中，步骤601-步骤626的具体描述与本发明实施例中步骤501-步骤526中相应内容的具体描述类似，对于步骤601-步骤626的具体实现本发明实施例在此不再一一赘述。

需要说明的是，本发明提供的acl配置方法还可以应用到防火墙或 dpi中，以实现控制和监控访问的目的，其实现过程与上述过程类似，本发明实施例在此不再一一赘述。

本发明提供的acl配置方法，网络管理服务器获取包括网络资源的域名的配置命令，然后将根据配置命令生成的包括网络资源的域名的第一dns解析请求报文发送至dns服务器，并接收来自dns服务器的包括网络资源的域名，以及与网络资源的域名对应的访问网络资源所需的第一ip地址列表的第一dns解析成功报文，最后将接收到的第一ip地址列表发送至acl配置设备，以便acl配置设备将第一ip地址列表下发到acl列表中，以实现对该网络资源的控制。通过配置命令实现了对网络资源的域名对应的ip地址列表的自动获取，并通过将ip地址列表发送至acl配置设备，使得acl配置设备可以将网络资源的域名对应的ip地址篱笆自动配置到acl列表中，从而确保了在网络资源的域名对应的ip地址列表发生变化时，能够及时的根据变化后的ip地址列表对acl列表进行修改，从而避免了acl控制错误的问题出现。

并且，通过对网络资源的域名对应的ip地址列表的自动获取，以及对acl功能的自动配置，提高了配置效率，且通过使用定时器，使得在网络资源的域名对应的ip地址列表发生变化后，网络管理服务器可以及时的获取到变化后的ip地址列表，进而确保了acl配置设备对acl列表的及时更新。

图8为本发明实施例提供一种acl配置设备的组成示意图，如图8所示，包括：获取单元71、生成单元72、发送单元73、接收单元74和下发单元75。

所述获取单元71，用于获取配置命令，所述配置命令用于获取与网络资源的域名对应的访问所述网络资源所需的互联网协议ip地址列表，以及用于对所述网络资源进行控制，所述配置命令包括所述网络资源的域名。

所述生成单元72，用于生成第一域名系统dns解析请求报文，所述第一dns解析请求报文包括所述获取单元71获取到的所述配置命令中包括的所述网络资源的域名。

所述发送单元73，用于向dns服务器发送所述生成单元72生成的所述第一dns解析请求报文。

所述接收单元74，用于接收来自所述dns服务器的第一dns解析成功报文，所述第一dns解析成功报文包括所述网络资源的域名，以及与所述网络资源的域名对应的访问所述网络资源所需的第一ip地址列表，所述第一ip地址列表中包括至少一个ip地址。

所述下发单元75，用于将所述接收单元74接收到的所述第一dns解析成功报文中包括的所述第一ip地址列表下发到所述acl配置设备的acl列表中，以实现对所述网络资源的控制。

在本发明实施例中，进一步的，所述网络资源的域名包括在所述网络资源的统一资源定位符url中。

所述获取单元71，还用于根据所述网络资源的url获取所述网络资源的域名。

在本发明实施例中，进一步的，如图9所示，acl配置设备还可以包括：定时单元76和判断单元77。

所述定时单元76，用于启动定时器。

所述生成单元72，还用于在所述定时器超时时，生成第二dns解析请求报文，所述第二dns解析请求报文包括所述网络资源的域名。

所述发送单元73，还用于向所述dns服务器发送所述生成单元72生成的所述第二dns解析请求报文。

所述接收单元74，还用于接收来自所述dns服务器的第二dns解析成功报文，所述第二dns解析成功报文包括所述网络资源的域名，以及与所述网络资源的域名对应的访问所述网络资源所需的第二ip地址列表，所述第二ip地址列表中包括至少一个ip地址。

所述判断单元77，用于判断所述接收单元74接收到的所述第二dns解析成功报文包括的所述第二ip地址列表与所述第一ip地址列表是否相同。

所述下发单元75，还用于若所述判断单元77判断得到所述第二ip地址列表与所述第一ip地址列表不同，则根据所述第二ip地址列表更新所述acl列表。

在本发明实施例中，进一步的，所述定时单元76，用于将所述网络资源的域名的存活时间ttl配置为所述定时器的定时周期。

需要说明的是，本发明实施例提供的acl配置设备中各功能模块的具体工作过程可以参考方法实施例中对应过程的具体描述，本发明实施例在此不再详细赘述。

本发明实施例提供的acl配置设备，用于执行上述acl配置方法，因此可以达到与上述acl配置方法相同的效果。

图10为本发明实施例提供又一种acl配置设备的组成示意图，如图10所示，包括：acl模块81、dns模块82、tcam模块83。

所述acl模块81，用于获取配置命令，所述配置命令用于获取与网络资源的域名对应的访问所述网络资源所需的互联网协议ip地址列表，以及用于对所述网络资源进行控制，所述配置命令包括所述网络资源的域名，将所述网络资源的域名携带在ip地址解析消息中传输至所述dns模块82。

所述dns模块82，用于生成第一dns解析请求报文，所述第一dns解析请求报文包括所述网络资源的域名，向dns服务器发送所述第一dns解析请求报文，并接收来自所述dns服务器的第一dns解析成功报文，所述第一dns解析成功报文包括所述网络资源的域名，以及与所述网络资源的域名对应的访问所述网络资源所需的第一ip地址列表，所述第一ip地址列表中包括至少一个ip地址，将所述第一ip地址传输至所述acl模块81。

所述acl模块81，还用于将所述第一ip地址列表下发到所述tcam模块83的acl列表中，以实现对所述网络资源的控制。

在本发明实施例中，进一步的，所述网络资源的域名包括在所述网络资源的统一资源定位符url中。

所述acl模块81，还用于根据所述网络资源的url获取所述网络资源的域名。

在本发明实施例中，进一步的，所述acl模块81，还用于启动定时器。

所述dns模块82，还用于在所述定时器超时时，生成第二dns解析请求报文，所述第二dns解析请求报文包括所述网络资源的域名，向所述dns服务器发送所述第二dns解析请求报文，接收来自所述dns服务器的第二dns解析成功报文，所述第二dns解析成功报文包括所述网络资源的域名，以及与所述网络资源的域名对应的访问所述网络资源所需的第二ip地址列表，所述第二ip地址列表中包括至少一个ip地址，将所述第二ip地址传输至所述acl模块81。

所述acl模块81，还用于判断所述第二ip地址列表与所述第一ip地址列表是否相同，若所述第二ip地址列表与所述第一ip地址列表不同，则根据所述第二ip地址列表更新所述tcam模块83的acl列表。

在本发明实施例中，进一步的，所述acl模块81，还用于将所述网络资源的域名的存活时间ttl配置为所述定时器的定时周期。

本发明实施例提供的acl配置设备，用于执行上述acl配置方法，因此可以达到与上述acl配置方法相同的效果。

图11为本发明实施例提供一种dns服务器的组成示意图，如图11所示，包括：接收单元91、解析单元92、判断单元93和发送单元94。

所述接收单元91，用于接收acl配置设备发送的第一dns解析请求报文，所述第一dns解析请求报文包括网络资源的域名。

所述解析单元92，用于对所述接收单元91接收到的所述第一dns解析请求报文中包括的所述网络资源的域名进行解析。

判断单元93，用于判断所述解析单元92解析所述网络资源的域名是否成功。

所述发送单元94，用于若所述判断单元93判断得到所述解析单元92解析所述网络资源的域名成功，则向所述acl配置设备发送第一dns解析成功报文，所述第一dns解析成功报文包括所述网络资源的域名，以及解析得到的与所述网络资源的域名对应的访问所述网络资源所需的第一ip地址列表，所述第一ip地址列表中包括至少一个ip地址。

在本发明实施例中，进一步的，所述发送单元94，还用于若所述判断单元93判断得到所述解析单元92解析所述网络资源的域名失败，则向所述acl配置设备发送第一dns解析失败报文，所述第一dns解析失败报文用于通知所述acl配置设备解析所述网络资源的域名失败。

或者，

所述发送单元94，还用于若所述判断单元93判断得到所述解析单元92解析所述网络资源的域名失败，则不对所述第一dns解析请求报文进行响应。

在本发明实施例中，进一步的，所述接收单元91，还用于接收所述acl配置设备发送的第二dns解析请求报文，所述第二dns解析请求报文包括所述网络资源的域名。

所述解析单元92，还用于对所述接收单元91接收到的所述第二dns解析请求报文中包括的所述网络资源的域名进行解析。

所述判断单元93，还用于判断所述解析单元92解析所述网络资源的域名是否成功。

所述发送单元94，还用于若所述判断单元93判断得到所述解析单元92解析所述网络资源的域名成功，则向所述acl配置设备发送第二dns解析成功报文，所述第二dns解析成功报文包括所述网络资源的域名，以及解析得到的与所述网络资源的域名对应的访问所述网络资源所需的第二ip地址列表，所述第二ip地址列表中包括至少一个ip地址。

需要说明的是，本发明实施例提供的dns服务器中各功能模块的具体工作过程可以参考方法实施例中对应过程的具体描述，本发明实施例在此不再详细赘述。

本发明实施例提供的dns服务器，用于执行上述acl配置方法，因此可以达到与上述acl配置方法相同的效果。

图12为本发明实施例提供一种网络管理服务器的组成示意图，如图12所示，包括：获取单元1001、生成单元1002、发送单元1003和接收单元1004。

所述获取单元1001，用于获取配置命令，所述配置命令用于获取与网络资源的域名对应的访问所述网络资源所需的互联网协议ip地址列表，以及用于对所述网络资源进行控制，所述配置命令包括所述网络资源的域名。

所述生成单元1002，用于生成第一域名系统dns解析请求报文，所述第一dns解析请求报文包括所述网络资源的域名。

所述发送单元1003，用于向dns服务器发送所述生成单元1002生成的所述第一dns解析请求报文。

所述接收单元1004，用于接收来自所述dns服务器的第一dns解析成功报文，所述第一dns解析成功报文包括所述网络资源的域名，以及与所述网络资源的域名对应的访问所述网络资源所需的第一ip地址列表，所述第一ip地址列表中包括至少一个ip地址。

所述发送单元1003，还用于将所述接收单元1004接收到的所述第一dns解析成功报文包括的所述第一ip地址列表发送至acl配置设备，以便所述acl配置设备将所述第一ip地址列表下发到所述acl配置设备的acl列表中，以实现对所述网络资源的控制。

在本发明实施例中，进一步的，所述网络资源的域名包括在所述网络资源的统一资源定位符url中。

所述获取单元1001，还用于根据所述网络资源的url获取所述网络资源的域名。

需要说明的是，本发明实施例提供的网络管理服务器中各功能模块的具体工作过程可以参考方法实施例中对应过程的具体描述，本发明实施例在此不再详细赘述。

本发明实施例提供的网络管理服务器，用于执行上述acl配置方法，因此可以达到与上述acl配置方法相同的效果。

图13为本发明实施例提供一种acl配置设备的硬件结构示意图，如图13所示，acl配置设备可以包括至少一个处理器1101、存储器1102、至少一个通信接口1103、和通信总线1104。

下面结合图13对acl配置设备的各个构成部件进行具体的介绍：

处理器1101可以是一个处理器，也可以是多个处理元件的统称。例如，处理器1101是一个中央处理器(英文：centralprocessingunit，简称：cpu)，也可以是特定集成电路(英文：applicationspecificintegratedcircuit，简称：asic)，或者是被配置成实施本发明实施例的一个或多个集成电路，例如：一个或多个微处理器(英文：digitalsignalprocessor，简称：dsp)，或，一个或者多个现场可编程门阵列(英文：fieldprogrammablegatearray，简称：fpga)。

其中，处理器1101可以通过运行或执行存储在存储器1102内的软件程序，以及调用存储在存储器1102内的数据，执行acl配置设备的各种功能。

在具体的实现中，作为一种实施例，处理器1101可以包括一个或多个cpu，例如图13中所示的cpu0和cpu1。

在具体实现中，作为一种实施例，acl配置设备可以包括多个处理器，例如图13中所示的处理器1101和处理器1105。这些处理器中的每一个可以是一个单核(single-cpu)处理器，也可以是一个多核(multi-cpu)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

存储器1102可以是只读存储器(英文：read-onlymemory，英文：rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(英文：randomaccessmemory，英文：ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(英文：electricallyerasableprogrammableread-onlymemory，英文：eeprom)、只读光盘(英文：compactdiscread-onlymemory，英文：cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，所述存储器1102用于存储执行本发明方案的软件程序，并由处理器1101来控制执行。

通信接口1103，使用任何收发器一类的装置，用于与其他设备通信。通信接口1103可以包括接收单元实现接收功能，以及发送单元实现发送功能。

通信总线1104可以是工业标准体系结构(英文全称：industrystandardarchitecture，英文简称：isa)总线、外部设备互连(英文全称： peripheralcomponent，英文简称：pci)总线或扩展工业标准体系结构(英文全称：extendedindustrystandardarchitecture，英文简称：eisa)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图13中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

图13中示出的设备结构并不构成对acl配置设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

在具体实现中：

处理器1101，用于执行图3或图6提供的acl配置方法，以实现图8和图9所示的acl配置设备中获取单元71、生成单元72和下发单元75的功能。

例如，处理器1101用于执行图3提供的acl配置方法中的步骤201以实现图8和图9所示的acl配置设备中获取单元71的功能。处理器1101还用于执行图3提供的acl配置方法中的步骤202以实现图8和图9所示的acl配置设备中生成单元72的功能。处理器1101还用于执行图3提供的acl配置方法中的步骤205以实现图8和图9所示的acl配置设备中下发单元75的功能。

再例如，处理器1101用于执行图6提供的acl配置方法中的步骤501以实现图8和图9所示的acl配置设备中获取单元71的功能。处理器1101还用于执行图6提供的acl配置方法中的步骤502或步骤516以实现图8和图9所示的acl配置设备中生成单元72的功能。处理器1101还用于执行图6提供的acl配置方法中的步骤511或步骤526以实现图8和图9所示的acl配置设备中下发单元75的功能。

所述通信接口1103，用于执行图3或图6提供的acl配置方法，以实现图8和图9所示的acl配置设备中发送单元73和接收单元74的功能。

例如，通信接口1103用于执行图3提供的acl配置方法中的步骤203以实现图8和图9所示的acl配置设备中发送单元73的功能。通信接口1103还用于执行图3提供的acl配置方法中的步骤204以实现图8和图9所示的acl配置设备中接收单元74的功能。

再例如，通信接口1103用于执行图6提供的acl配置方法中的步骤 503或步骤517以实现图8和图9所示的acl配置设备中发送单元73的功能。处理器1101还用于执行图6提供的acl配置方法中的步骤510、步骤512或步骤524以实现图8和图9所示的acl配置设备中接收单元74的功能。

在本发明实施例中，进一步的，处理器1101，还用于执行图6提供的acl配置方法，以实现图9所示的acl配置设备中定时单元76和判断单元77的功能。

例如，处理器1101用于执行图6提供的acl配置方法中的步骤514或步骤515以实现图8和图9所示的acl配置设备中定时单元76的功能。处理器1101还用于执行图6提供的acl配置方法中的步骤525以实现图8和图9所示的acl配置设备中判断单元77的功能。

本发明实施例提供的acl配置设备，用于执行上述acl配置方法，因此可以达到与上述acl配置方法相同的效果。

图14为本发明实施例提供一种dns服务器的硬件结构示意图，如图14所示，dns服务器可以包括至少一个处理器1201、存储器1202、至少一个通信接口1203、和通信总线1204。

下面结合图14对dns服务器的各个构成部件进行具体的介绍：

处理器1201可以是一个处理器，也可以是多个处理元件的统称。例如，处理器1201是一个cpu，也可以是asic，或者是被配置成实施本发明实施例的一个或多个集成电路，例如：一个或多个dsp，或，一个或者多个fpga。

其中，处理器1201可以通过运行或执行存储在存储器1202内的软件程序，以及调用存储在存储器1202内的数据，执行dns服务器的各种功能。

在具体的实现中，作为一种实施例，处理器1201可以包括一个或多个cpu，例如图14中所示的cpu0和cpu1。

在具体实现中，作为一种实施例，dns服务器可以包括多个处理器，例如图14中所示的处理器1201和处理器1205。这些处理器中的每一个可以是一个single-cpu，也可以是一个multi-cpu。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

存储器1202可以是rom或可存储静态信息和指令的其他类型的静态存储设备，ram或者可存储信息和指令的其他类型的动态存储设备，也可以是eeprom、cd-rom或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，所述存储器1202用于存储执行本发明方案的软件程序，并由处理器1201来控制执行。

通信接口1203，使用任何收发器一类的装置，用于与其他设备通信。通信接口1203可以包括接收单元实现接收功能，以及发送单元实现发送功能。

通信总线1204可以是isa总线、pci总线或eisa总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图14中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

图14中示出的设备结构并不构成对dns服务器的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

在具体实现中：

所述处理器1201，用于执行图4或图6提供的acl配置方法，以实现图11所示的dns服务器中解析单元92和判断单元93的功能。

例如，处理器1201用于执行图4提供的acl配置方法中的步骤302以实现图11所示的dns服务器中解析单元92的功能。处理器1201还用于执行图4提供的acl配置方法中的步骤303以实现图11所示的dns服务器中判断单元93的功能。

再例如，处理器1201用于执行图6提供的acl配置方法中的步骤505或步骤519以实现图11所示的dns服务器中解析单元92的功能。处理器1101还用于执行图6提供的acl配置方法中的步骤506或步骤520以实现图11所示的dns服务器中判断单元93的功能。

所述通信接口1203，用于执行图4或图6提供的acl配置方法，以实现图11所示的dns服务器中发送单元94和接收单元91的功能。

例如，通信接口1203用于执行图4提供的acl配置方法中的步骤301以实现图11所示的dns服务器中接收单元91的功能。通信接口1203还用于执行图4提供的acl配置方法中的步骤304以实现图11所示的dns服务器中接收单元94的功能。

再例如，通信接口1203用于执行图6提供的acl配置方法中的步骤504或518以实现图11所示的dns服务器中接收单元91的功能。通信接口1203还用于执行图6提供的acl配置方法中的步骤507、步骤508、步骤521或步骤522以实现图11所示的dns服务器中发送单元94的功能。

本发明实施例提供的dns服务器，用于执行上述acl配置方法，因此可以达到与上述acl配置方法相同的效果。

图15为本发明实施例提供一种网络管理服务器的硬件结构示意图，如图15所示，网络管理服务器可以包括至少一个处理器1301、存储器1302、至少一个通信接口1303、和通信总线1304。

下面结合图15对网络管理服务器的各个构成部件进行具体的介绍：

处理器1301可以是一个处理器，也可以是多个处理元件的统称。例如，处理器1301是一个cpu，也可以是asic，或者是被配置成实施本发明实施例的一个或多个集成电路，例如：一个或多个dsp，或，一个或者多个fpga。

其中，处理器1301可以通过运行或执行存储在存储器1302内的软件程序，以及调用存储在存储器1302内的数据，执行网络管理服务器的各种功能。

在具体的实现中，作为一种实施例，处理器1301可以包括一个或多个cpu，例如图15中所示的cpu0和cpu1。

在具体实现中，作为一种实施例，网络管理服务器可以包括多个处理器，例如图15中所示的处理器1301和处理器1305。这些处理器中的每一个可以是一个single-cpu，也可以是一个multi-cpu。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令) 的处理核。

存储器1302可以是rom或可存储静态信息和指令的其他类型的静态存储设备，ram或者可存储信息和指令的其他类型的动态存储设备，也可以是eeprom、cd-rom或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过总线与处理器相连接。存储器也可以和处理器集成在一起。

其中，所述存储器1302用于存储执行本发明方案的软件程序，并由处理器1301来控制执行。

通信接口1303，使用任何收发器一类的装置，用于与其他设备通信。通信接口1303可以包括接收单元实现接收功能，以及发送单元实现发送功能。

通信总线1304可以是isa总线、pci总线或eisa总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图15中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

图15中示出的设备结构并不构成对网络管理服务器的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

在具体实现中：

所述处理器1301，用于执行图5或图7提供的acl配置方法，以实现图12所示的网络管理服务器中获取单元1001和生成单元1002的功能。

例如，处理器1301用于执行图5提供的acl配置方法中的步骤401以实现图12所示的网络管理服务器中获取单元1001的功能。处理器1301还用于执行图5提供的acl配置方法中的步骤402以实现图12所示的网络管理服务器中生成单元1002的功能。

再例如，处理器1301用于执行图7提供的acl配置方法中的步骤601以实现图12所示的网络管理服务器中获取单元1001的功能。处理器1301还用于执行图7提供的acl配置方法中的步骤602或步骤616以实现图12所示的网络管理服务器中生成单元1002的功能。

所述通信接口1303，用于执行图5或图7提供的acl配置方法，以实现图12所示的网络管理服务器中发送单元1003和接收单元1004的功能。

例如，通信接口1303用于执行图5提供的acl配置方法中的步骤403或步骤405以实现图12所示的网络管理服务器中发送单元1003的功能。通信接口1303还用于执行图5提供的acl配置方法中的步骤404以实现图12所示的网络管理服务器中接收单元1004的功能。

再例如，通信接口1303用于执行图7提供的acl配置方法中的步骤603、步骤611、步骤617或步骤626以实现图12所示的网络管理服务器中发送单元1003的功能。通信接口1303还用于执行图7提供的acl配置方法中的步骤610、步骤612或步骤624以实现图12所示的网络管理服务器中接收单元1004的功能。

本发明实施例提供的网络管理服务器，用于执行上述acl配置方法，因此可以达到与上述acl配置方法相同的效果。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块或单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个装置，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是一个物理单元或多个物理单元，即可以位于一个地方，或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一个设备(可以是单片机，芯片等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(英文：read-onlymemory，简称：rom)、随机存取存储器(英文：randomaccessmemory，简称：ram)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：陈洪国;张雯;李志永;刘广升;邹文军
技术所有人：华为技术有限公司
我是此专利的发明人

上一篇：一种请求消息传输方法及装置与流程
上一篇：网络访问控制的实现方法及装置与流程

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。